【無料ツールで作るセキュアな環境(10)】〜snortのルールセットのメンテナンス〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.15(土)

【無料ツールで作るセキュアな環境(10)】〜snortのルールセットのメンテナンス〜(執筆:office、みっきー)

 前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。

特集 特集
 前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。

 ところが、ネットワーク上での攻撃や不正利用の手法は、他の技術の進歩と同様毎日のように新たな手法が考え出され、実行されている。snortのように予め記述されたルールに従って異常検出を行う構造を持つIDSは、ルールの設定後に開発された新たな手法による攻撃や不正利用を検出することができない。そのため、定期的なルールセットのメンテナンスがとても重要な意味を持つ。

 前回の予告で、ルールの作成法について解説すると約束したが、先にルールセットのメンテナンスについて解説しよう。

 snortのホームページ http://www.snort.org では、ほぼ毎週のように新しいルールセットが発表されており、それらは
http://www.snort.org/Database/rules.asp から入手することができる。ここで入手できるルールセットは、snortのアーカイブに含まれているルール
セットと若干構成が違っているので、使用にあたっては注意が要る。また現在提供されている最新のルールセットはsnort-1.7以降にのみ対応となってい
る。

 ルールセットを実際にダウンロードするには上記URLからリンクで辿るか、 http://www.snort.org/snort-files.htm#Rules へ直接訪れ、以下のようなリンクを探し出しす。ルールセットが新しいものかどうかは改訂した日付の記載から判断できる。

Snort.org Rulesets: snortrules.tar.gz
UPDATED RULESET RELEASED 03/28/2001

 [snortrules.tar.gz]をクリックしてルールアーカイブをダウンロードし、適当な作業用ディレクトリを作成してそこにsnortrules.tar.gzをコピーした後に解凍する。

# tar -xvzf snortrules.tar.gz

 今回入手したルールセットは以下のような構成を取っている。構成自体はsnort添付のルールセットと同様であるが、いくつかのジャンル構成が変更・追加されており、またファイル名が変更されている。それぞれのジャンルはファイル名から推測することが可能である。

 原稿執筆時で最新の03/28/2001のルールアーカイブには何故かメインとなるsnort.confが含まれておらず、 http://www.snort.org/snort-files.htm#Rules で公開しているsnort.confが指定している構成が違うため、03/01/2001の
snortrules.tar.gzを例として解説する。

snort.conf      ルールセットのメインファイル
 |−local.rules   使用者がカスタマイズしたルールを記載する
 |−exploit.rules  バッファーオーバーフロー等の攻撃検出用ルール
 |−scan.rules   さまざまなスキャン行為検出用ルール
 |−finger.rules  fingerを利用した不正行為検出用ルール
 |−ftp.rules    ftpを利用した不正行為検出用ルール
 |−telnet.rules  telnetを利用した不正行為検出用ルール
 |−smtp.rules   smtpを利用した不正行為検出用ルール
 |−rpc.rules    rpcを利用した不正行為検出用ルール
 |−rservices.rules r系のサービスを利用した不正行為検出用ルール
 |−backdoor.rules 様々なバックドアを検出するためのルール
 |−dos.rules    DoSを検出するためのルール
 |−ddos.rules   分散DoSを検出するためのルール
 |−dns.rules    dnsを利用した不正行為検出用ルール
 |−netbios.rules  netbios関係の検出用ルール
 |−web-cgi.rules  cgiを利用した不正行為検出用ルール
 |−web-coldfusion.rules
 |   WebアプリケーションサーバColdFusionへの不正行為検出用ルール |−web-frontpage.rules
 |   MS-Frontpageを悪用した行為の検出用ルール
 |−web-misc.rules httpに関するさまざまな不正行為検出用ルール
 |−web-iis.rules  MS-IISサーバに対する不正行為検出用ルール
 |−icmp.rules   icmpに対するスキャン行為等の検出用ルール
 |−misc.rules   tracerouteやrootkitその他の検出用ルール


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

詳しくはScan本誌をご覧下さい。
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×